首頁 > 客戶服務 > FAQ >企業防護資安產品相關問題

Abocom Gateway 如何防止 ARP 病毒攻擊

2013/01/15

Arp 病毒攻擊的特徵主要是利用 ARP 更新過程, 提供錯誤的訊息給其他電腦主機或 Firewall , 造成該機器的 arp 表錯誤, 產生無法連線的問題症狀 , 一般將電腦或 Firewall 重新開機甚至靜待幾分鐘網路會回復正常, 但問題依然會再度發生.

 

Arp 攻擊的原理

 

網路的通訊必須使用網址與 IP , 透過 IP 與 Route 路由協定可以很快找到欲通訊的雙方, 這些網路協定在規範裡是屬於第 3 層以上,實際的封包傳送必須透過第 2 層的 MAC 地址來傳送,因此任何必須傳送資料的電腦或設備其本身必須使用 ARP 協定, 去找到網路上相關 Gateway IP 的 MAC 位址以及本地 (Local ) 端 IP 的 MAC 位址, 並且會一段時間自動去更新,這一份暫時存放 IP 與 MAC 對應的表稱為 ARP Table .

 

Arp 攻擊的病毒軟體即是利用 ARP 查詢時, 提供自己或是偽造的 MAC 卡號, 造成部份電腦的 ARP 表錯誤,同時也會造成 Gateway 上的 ARP 表產生多筆相同的 MAC 卡號.

 

 

另一攻擊方式是偽造錯誤的閘道器 ( Gateway )。它先建立一個假閘道,只要有電腦詢問 Gateway 的 ARP 封包, 它就會代回, 讓電腦收到錯誤的卡號,被它欺騙的 PC 向假閘道發資料,而不是通過正常的路由器 ( Firewall ) 途徑上網。對PC 使用者而言,造成網路無法正常使用現象.

 

為了進一步確認,我們可以透過查詢 ARP 表來判斷。

 

輸入 ARP -a 命令,

C:\WINDOWS>arp -a

若是 Gateway 的 IP 所顯示的 MAC 卡號錯誤, 就是此一狀況.

 


如何防範 ARP 病毒攻擊

 

一.於用戶電腦端

其簡易解決的方式就是將其 Gateway 的MAC Address 在電腦上直接設定成靜態ARP即可。

Add a Static Entry , Gateway IP Address : 192.168.1.1 MAC Address : 00-12-34-56-78-9a

指令如下:

arp -s 192.168.1.1 00-12-34-56-78-9a

上述指令必須先查出 Gateway 或 Firewall 的 MAC address , 若使用 Abocom Gateway 產品,請於支援 Static Arp 功能版本,直接下載程式於電腦執行即可.

 


二.於 Abocom Gateway 產品端

1.先指定每台電腦固定的 IP & 卡號

 

 

2.於 ARP 表中, 啟動 Static Arp 功能 

 

 

如此就可避免用戶的 IP& MAC 卡號被錯誤更新,造成問題.
當所有用戶都設定為 Static ARP 後, 有新的電腦用戶上線, ARP 資料依然可以自動被學習加入 Firewall 設備內 ARP 表,在轉成 Staitc ARP 前請確定其正確性.
 


AboCom. Copyright©2012 www.aboway.com.tw All Rights Reserved.

聯絡我們